Apresento a vocês um tutorial simples de como criar um servidor DNS recursivo (usado para cache DNS de navegação local e navegação de usuários).
Leitura de outras dicas recomendadas:
- Criação da maquina virtual VMware com ajustes finos;
- Instalação do Debian 12 netinstall x86_64 (amd64);
- Instalação de programas básicos;
- Data/hora via NTP;
- Ajuste fino no kernel Linux;
Instalando Unbound
Os procedimentos abaixo foram feitos e pensados para uma nova instalação limpa, não recomendo que você as execute em um servidor que já esteja rodando o Unbound.
Bash
# Instalar Unbound:
apt-get -y install unbound
# Instalar ferramentas de DNS:
apt-get -y install dnsutils
# Ativar no systemd para subir durante o boot:
systemctl enable unbound
# Baixar lista de root-servers atualizada:
mkdir -p /etc/unbound
wget https://www.internic.net/domain/named.root -4 -O /etc/unbound/named.cache
Precisamos obter a lista de root-servers atualizadas, os root-servers são servidores espalhados globalmente e possuem os dominos TLDN (.br, .com, .net, .io, .arpa., etc…) e possuem a zona raiz apontando para todos os servidores de segundo nível do mundo (.br aponta para registro.br no Brasil, .ar aponta para os servidores da Argentina, etc…).
Bash
# Baixar lista de root-servers atualizada:
mkdir -p /etc/unbound
wget https://www.internic.net/domain/named.root -4 -O /etc/unbound/named.cache
# Produzir listas em formato intercambiável para uso nos
# scripts diversos e de monitoramento
cat /etc/unbound/named.cache | egrep -v '^;' > /tmp/nc-nocmts.txt
cat /tmp/nc-nocmts.txt | egrep -v NS > /tmp/nc-ipaddr.txt
cat /tmp/nc-ipaddr.txt | awk '{print $1";"$4}' > /tmp/nc-table.dat
cat /tmp/nc-table.dat | cut -f2 -d';' > /tmp/nc-iponly.dat
# Arquivos finais:
cat /tmp/nc-table.dat > /etc/unbound/root-servers-table.dat
cat /tmp/nc-iponly.dat > /etc/unbound/root-servers-ips.dat
cat /tmp/nc-iponly.dat | egrep -v ':' > /etc/unbound/root-servers-ipv4.dat
cat /tmp/nc-iponly.dat | egrep ':' > /etc/unbound/root-servers-ipv6.dat
Configurando Unbound do zero
Vamos limpar a configuração padrão e criar tudo do zero.
Bash
# Garantir config padrao no formato /etc/unbound/unbound.conf.d/
mkdir -p /etc/unbound/unbound.conf.d
rm -f /etc/unbound/unbound.conf.d/* 2>/dev/null
# Recriar todas as configs do zero:
# - Config principal:
(
echo
echo 'server:'
echo ' module-config: "respip validator iterator"'
echo
echo 'include-toplevel: "/etc/unbound/unbound.conf.d/*.conf"'
echo
) > /etc/unbound/unbound.conf
Leia os comentários e altere de acordo com as suas necessidades, em seguida cole os blocos de código no terminal.
Bash
# - Chave pública da raiz do DNS (Root Zone Key), usado para DNSSEC:
(
echo
echo 'server:'
echo
echo ' auto-trust-anchor-file: "/var/lib/unbound/root.key"'
echo
) > /etc/unbound/unbound.conf.d/21-root-auto-trust-anchor-file.conf
# - Gerador de estatísticas:
(
echo 'server:'
echo ' statistics-interval: 0'
echo ' extended-statistics: yes'
echo ' statistics-cumulative: no'
echo
) > /etc/unbound/unbound.conf.d/31-statisticas.conf
# - Protocolos - ativar todos
# - Nota: coloque "no" no do-ip6 se você não tem IPv6 no servidor
(
echo
echo 'server:'
echo
echo ' do-ip4: yes'
echo ' do-ip6: yes'
echo ' do-udp: yes'
echo ' do-tcp: yes'
echo
) > /etc/unbound/unbound.conf.d/41-protocols.conf
# - ACL de uso - IPs locais (loopback e privados) confiaveis
# - Nota: IPs privados definidos em RFC para IPv4:
# rfc 922, rfc 919, rfc 1112, rfc 1122,
# rfc 1918, rfc 2544, rfc 3068, rfc 3171,
# rfc 3330, rfc 3927, rfc 5735, rfc 5736,
# rfc 5737, rfc 6598,
#
# - Nota: IPs privados/não-globais definidos em RFC para IPv6:
# rfc 3849, rfc 9637
#
(
echo
echo 'server:'
echo
echo ' # Loopback'
echo ' access-control: 127.0.0.1/32 allow'
echo ' access-control: ::1/128 allow'
echo
echo ' # Todas as faixas privadas RFCs'
echo ' access-control: 0.0.0.0/8 allow'
echo ' access-control: 10.0.0.0/8 allow'
echo ' access-control: 100.64.0.0/10 allow'
echo ' access-control: 127.0.0.0/8 allow'
echo ' access-control: 169.254.0.0/16 allow'
echo ' access-control: 172.16.0.0/12 allow'
echo ' access-control: 192.0.0.0/24 allow'
echo ' access-control: 192.0.2.0/24 allow'
echo ' access-control: 192.88.99.0/24 allow'
echo ' access-control: 192.168.0.0/16 allow'
echo ' access-control: 198.18.0.0/15 allow'
echo ' access-control: 198.51.100.0/24 allow'
echo ' access-control: 203.0.113.0/24 allow'
echo ' access-control: 224.0.0.0/4 allow'
echo ' access-control: 240.0.0.0/4 allow'
echo ' access-control: 255.255.255.255/32 allow'
echo ' # Faixas IPv6 privadas'
echo ' access-control: 2001:db8::/32 allow'
echo
echo ' # Faixas IPv6 nao-globais'
echo ' access-control: ::/3 allow'
echo ' access-control: 4000::/2 allow'
echo ' access-control: 8000::/1 allow'
echo
) > /etc/unbound/unbound.conf.d/51-acls-locals.conf
# - ACL de uso - IPs locais públicos (IPv4) e globais (IPv6)
# - Nota: Coloque seus prefixos de IPs publicos,
# prefixos de IPs delegados pelo seu provedor,
# prefixos de IPs do seu ASN,
# informe IPv4 e IPv6, mesmo se não usar o IPv6
#
(
echo
echo 'server:'
echo
echo ' # IPs publicos (IPv4) delegados e proprios:'
echo ' access-control: 45.255.128.0/29 allow'
echo
echo ' # IPs globais (IPv6) delegados e proprios:'
echo ' access-control: 2804:cafe::/126 allow'
echo
) > /etc/unbound/unbound.conf.d/52-acls-trusteds.conf
# - ACL padrao - descartar tudo de IPs nao confiaveis
# - Nota: nao use "refuse" como padrão pois ele gera resposta
# e pode fazer seu DNS ser explorado em DDoS
# usar "deny" pois ele descarta silenciosamente
# os pacotes de IPs desconhecidos
(
echo
echo 'server:'
echo
echo ' # Nao responder para IPs desconhecidos'
echo ' access-control: 0.0.0.0/0 deny'
echo ' access-control: ::/0 deny'
echo
) > /etc/unbound/unbound.conf.d/59-acls-default-policy.conf
# Parametros gerais (tuning) - padrao para 4 nucleos, 64M de RAM
(
echo
echo 'server:'
echo ' outgoing-range: 8192'
echo ' outgoing-port-avoid: 0-1024'
echo ' outgoing-port-permit: 1025-65535'
echo ' num-threads: 4'
echo ' num-queries-per-thread: 1024'
echo ' msg-cache-size: 64m'
echo ' msg-cache-slabs: 4'
echo ' rrset-cache-size: 8m'
echo ' rrset-cache-slabs: 4'
echo ' cache-min-ttl: 60'
echo ' cache-max-ttl: 7200'
echo ' infra-host-ttl: 60'
echo ' infra-lame-ttl: 120'
echo ' infra-cache-numhosts: 10000'
echo ' infra-cache-lame-size: 10k'
echo ' infra-cache-slabs: 4'
echo ' key-cache-slabs: 4'
echo ' rrset-roundrobin: yes'
echo
echo ' hide-identity: yes'
echo ' hide-version: yes'
echo ' harden-glue: yes'
echo ' harden-algo-downgrade: yes'
echo ' harden-below-nxdomain: yes'
echo ' harden-dnssec-stripped: yes'
echo ' harden-large-queries: yes'
echo ' harden-referral-path: no'
echo ' harden-short-bufsize: yes'
echo ' do-not-query-address: 127.0.0.1/8'
echo ' do-not-query-localhost: yes'
echo ' edns-buffer-size: 1472'
echo ' aggressive-nsec: yes'
echo ' delay-close: 10000'
echo ' neg-cache-size: 4M'
echo ' qname-minimisation: yes'
echo ' deny-any: yes'
echo ' ratelimit: 1000'
echo ' unwanted-reply-threshold: 10000'
echo ' use-caps-for-id: yes'
echo ' val-clean-additional: yes'
echo ' minimal-responses: yes'
echo ' prefetch: yes'
echo ' prefetch-key: yes'
echo ' serve-expired: yes'
echo ' so-reuseport: yes'
echo
) > /etc/unbound/unbound.conf.d/61-configs.conf
# Informar em quais enderecos IP locais o unbound deve abrir
# a porta 53/tcp e 53/udp para escuta de requisicoes
# - Escutar sempre nos ips de loopback
(
echo
echo 'server:'
echo ' interface: 127.0.0.1'
echo ' interface: ::1'
echo
) > /etc/unbound/unbound.conf.d/62-listen-loopback.conf
# - Escutar sempre nos ips externos
# * usar 0.0.0.0 não é uma boa ideia, embora funcione
# essa config causa assincronia no ip de resposta
# nos casos em que o servidor tem mais de um IP
# * correto: crie uma linha 'interface:' para cada IP
# publico ou de loopback
(
echo
echo 'server:'
echo ' interface: 0.0.0.0'
echo ' interface: ::'
echo
) > /etc/unbound/unbound.conf.d/63-listen-interfaces.conf
# - Hyperlocal Cache (opcional)
# -- Requer lista de root-servers do inicio do tutorial!
if [ -f /etc/unbound/root-servers-ips.dat ]; then
(
echo
echo 'server:'
echo ' auth-zone:'
echo ' name: "."'
for addr in $(cat /etc/unbound/root-servers-ips.dat); do
echo " master: $addr"
done
echo ' fallback-enabled: yes'
echo ' for-downstream: no'
echo ' for-upstream: yes'
echo ' zonefile: ""'
echo
) > /etc/unbound/unbound.conf.d/89-hyperlocal-cache.conf
fi
# - Controle remoto local do processo:
# - Nota: somente localhost, por isso nao precisa de certificado
(
echo
echo 'remote-control:'
echo ' control-enable: yes'
echo ' control-interface: 127.0.0.1'
echo ' control-port: 953'
echo ' control-use-cert: "no"'
echo ' control-interface: /run/unbound.ctl'
echo
) > /etc/unbound/unbound.conf.d/99-remote-control.conf
Testando e executando
Até aqui temos a configuração de um servidor Unbound para DNS Recursivo de alta qualidade. Vamos testar antes de continuar para a fase 2.
Bash
# Conferir se a configuração está OK:
unbound-checkconf /etc/unbound/unbound.conf
# precisa retornar:
# unbound-checkconf: no errors in /etc/unbound/unbound.conf
# Rodar e testar:
service unbound stop
service unbound start
# Verificar status de execução:
service unbound status
Homologação de DNS
Com o Unbound rodando, vamos testar se ele resolve nomes:
Bash
# Testar DNS enviando requisição para o ip de Loopback
# usando varias ferramentas de DNS:
nslookup www.google.com 127.0.0.1
host www.google.com 127.0.0.1
dig @127.0.0.1 www.google.com
# Caso tenha ativado o IPv6 em "do-ip6", teste tambem:
nslookup www.google.com ::1
host www.google.com ::1
dig @::1 www.google.com
# Nota: ping não é ferramenta de teste de DNS!
Caso você enfrente problemas ao resolver nomes, confira se os pacotes estão sendos respondidos, se seu servidor tem acesso a DNS na Internet, testes pontuais (ping e traceroute não são ferramentas de teste de DNS).
Testando acesso externo de DNS para homologação
Bash
# 1 - Testar usando servidores de DNS recursivo abertos
# 1.1 - Usando UDP:
dig @1.0.0.1 www.google.com
dig @1.1.1.1 www.google.com
dig @4.2.2.2 www.google.com
dig @4.2.2.6 www.google.com
dig @8.8.4.4 www.google.com
dig @8.8.8.8 www.google.com
dig @9.9.9.9 www.google.com
# 1.2 - Usando TCP:
dig @1.0.0.1 +tcp www.google.com
dig @1.1.1.1 +tcp www.google.com
dig @4.2.2.2 +tcp www.google.com
dig @4.2.2.6 +tcp www.google.com
dig @8.8.4.4 +tcp www.google.com
dig @8.8.8.8 +tcp www.google.com
dig @9.9.9.9 +tcp www.google.com
# 2 - Testar acesso ao root-server a.root-server.net
dig @198.41.0.4 -t ns root-server.net
dig @198.41.0.4 +tcp -t ns root-server.net
Se você encontrar algum problema nos testes acima, investigue e arrume-o antes de continuar.
Implementando AnaBlock
O AnaBlock é uma API de automação de bloqueios judiciais, essa API é hospedada no site anablock.net.br e requer cadastro para ter o acesso, acesse o site https://anablock.net.br/ para se cadastrar.
Nota: somente provedores cadastrados na Anatel (com dispensa ou outorga) devidamente notificados pela Anatel para realizar bloqueios podem ter acesso a API pois os dados retornados possuem segredo de justiça.
Após cadastrar e liberar seus IPs (IPv4 e/ou IPv6) na API do AnaBlock, teste se a API está operacional:
Bash
# Testar se a liberação foi realizada:
# Teste de liberacao via IPv4:
curl -4 https://anablock.net.br/acl.php
# Teste de liberacao via IPv6:
curl -6 https://anablock.net.br/acl.php
# Forcar testar apenas IPv4:
curl http://v4.anablock.net.br/acl.php
# Forcar testar apenas IPv6:
curl http://v6.anablock.net.br/acl.php
# Testar se a lista de domínios está sendo enviada
mkdir /etc/anablock
ABLIST="/etc/anablock/anablock.domains"
ABURL="https://api.anablock.net.br/api/domain/all"
curl -v -o $ABLIST $ABURL
# Verificar a contagem de domínios na lista
cat /etc/anablock/anablock.domains | wc -l
Se tudo deu certo até aqui, chegou a hora de colocar o Unbound para bloquear automaticamente os domínios ordenados pela justiça/Anatel.
Crie a configuração do AnaBlock no Unbound:
Bash
# Criar arquivo de cache RPZ
mkdir -p /var/lib/unbound
touch /var/lib/unbound/anablock-rpz.zone
chown unbound:unbound /var/lib/unbound/anablock-rpz.zone
# Criar entrada na config do Unbound:
(
echo
echo 'server:'
echo ' rpz:'
echo ' name: "anablock"'
echo ' zonefile: "/var/lib/unbound/anablock-rpz.zone"'
echo
echo 'auth-zone:'
echo ' name: "anablock"'
echo ' url: "https://api.anablock.net.br/domains/rpz"'
echo ' for-downstream: no'
echo ' for-upstream: yes'
echo ' fallback-enabled: no'
echo ' zonefile: "/var/lib/unbound/anablock-rpz.zone"'
echo
) > /etc/unbound/unbound.conf.d/91-anablock.conf
Testar se a nova configuração entrou harmonicamente no Unbound:
Bash
# Conferir se a configuração está OK:
unbound-checkconf /etc/unbound/unbound.conf
# precisa retornar:
# unbound-checkconf: no errors in /etc/unbound/unbound.conf
# Reiniciar, escolha uma das ocoes:
# 1 - Reiniciar sem perder o cache de DNS:
unbound-control reload_keep_cache
# 2 - Reiniciar unbound completamente e rapido:
service unbound restart
# 3 - Parar totalmente, esperar e iniciar do zero:
service unbound stop
service unbound start
# Verificar status de execução:
service unbound status
Testar bloqueios do AnaBlock
A API do AnaBlock fornece um nome de teste: blocktest.anablock.net.br
Se este nome for resolvido, o AnaBlock não está em operação, mas se apresentar erro NXDOMAIN (domínio não existe), o bloqueio foi implementado com sucesso.
Bash
# Teste de bloqueio:
host blocktest.anablock.net.br 127.0.0.1
Using domain server:
Name: 127.0.0.1
Address: 127.0.0.1#53
Aliases:
Host blocktest.anablock.net.br not found: 3(NXDOMAIN)
Com isso temos nosso bloqueio judicial 100% em conformidade com o jurídico da empresa via AnaBlock e um DNS de altíssima velocidade com Unbound.
Um abraço a todos,
Patrick Brandão, patrickbrandao@gmail.com